20 กุมภาพันธ์ 2545 เวลา 19:55 น
พบการแพร่กระจายของไวรัส Yarner.A ซึ่งเป็นไวรัสที่มีความร้ายกาจมาก โดยมันจะแนบไฟล์ไวรัสมากับอีเมล์ที่มีหัวเรื่องว่า "Trojaner-Info Newsletter [วันที่ปัจจุบัน]" หลังจากที่รันไฟล์ไวรัส มันจะส่งอีเมล์กระจายไปยังทุกคนที่มีรายชื่อใน Microsoft Outlook Address Book และอาจลบทุกไฟล์ที่อยู่ในโฟลเดอร์เดียวกับวินโดวส์ ดังนั้น อย่าเปิดไฟล์ที่แนบมากับอีเมล์ดังกล่าวเด็ดขาด!
หนอนอินเตอร์เน็ต W32.Yarner.A@mm ถูกค้นพบเมื่อวันที่ 19 กุมภาพันธ์ 2545 โดยถูกพัฒนาด้วยภาษา Delphi และจะแพร่กระจายโดยส่งอีเมล์ไปยังทุกคนที่มีรายชื่อใน Microsoft Outlook Address Book โดยแนบไฟล์ชื่อว่า yawsetup.exe ซึ่งหลอกว่าเป็นโปรแกรม YAW เวอร์ชันใหม่ของบริษัท Trojaner Info ประเทศเยอรมันนี ไปด้วย
รายละเอียดของอีเมล์เป็นดังนี้
Subject: Trojaner-Info Newsletter [วันที่ปัจจุบัน]
Message Body:
Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
01. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
01. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter
andreas@ants-online.de zur Verf gung. Viel Spa? mit YAW!
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert
************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.
************************************
การทำงานของไวรัส
เมื่อเปิดไฟล์ที่แนบมากับอีเมล์นี้ ไวรัสจะสำเนาตัวเองไปทับโปรแกรมโน้ตแพด (notepade.exe) ซึ่งอยู่ในไดเร็กทอรีเดียวกับวินโดวส์ และเมื่อโน้ตแพดถูกเรียกใช้ ไวรัสก็จะถูกรันไปด้วย โดยมันจะสำเนาตัวเองไปทับไฟล์ที่มีส่วนขยายเป็น .EXE ในไดเร็กทอรีเดียวกับวินโดวส์โดยการสุ่มไฟล์ และไปแก้ไขไฟล์รีจีสทรี โดยเพิ่มคำสั่งให้รันไฟล์ที่ติดไวรัสทุกครั้งที่เปิดเครื่อง ดังนี้
HKEY_CURRENT_USER SoftwareMicrosoftWindows
CurrentVersionRunonce
หลังจากนั้นมันจะสร้างไฟล์ kerneI32.daa และไฟล์ kerneI32.das ไว้เก็บข้อมูลชื่ออีเมล์และชื่อ SMTP engine ที่จะติดต่อด้วยตอนส่งอีเมล์ ซึ่งข้อมูลที่เก็บ ได้มาจากการค้นชื่ออีเมล์ใน Microsoft Outlook Address Book และที่สแกนได้จาก ไฟล์ .php, .htm, .shtm, .cgi, .pl ที่อยู่ในไดเร็กทอรีย่อยในเครื่อง หลังจากได้ชื่ออีเมล์เรียบร้อย มันจะส่งอีเมล์ไปยังทุกๆคน พร้อมทั้งแนบไฟล์ yawsetup.exe ซึ่งเป็นไวรัสไปด้วย แล้วจึงลบทุกไฟล์ที่อยู่ในไดเร็กทอรีที่เก็บวินโดวส์
วิธีป้องกันตัวเองจากไวรัส
1. ถ้าได้รับอีเมล์ที่มี subject ว่า Trojaner-Info Newsletter [วันที่ปัจจุบัน] ให้ลบอีเมล์นี้ทิ้งทันที
2. อย่าเปิดไฟล์ที่แนบมากับอีเมล์ที่น่าสงสัย รวมทั้งไฟล์น่าสงสัยที่ส่งมาทางอื่นด้วย
3. อัพเดตโปรแกรมป้องกันไวรัสเป็นตัวล่าสุด
